Uma nova versão do malware Godfather está a preocupar especialistas em segurança digital, ao explorar técnicas de virtualização para atacar aplicações bancárias em dispositivos Android. Ao contrário do que habitualmente se associa à virtualização — uma camada extra de proteção e isolamento —, neste caso, a tecnologia é usada para criar ambientes isolados dentro do próprio telemóvel, dificultando a deteção e permitindo a execução de operações maliciosas em segundo plano.
Como funciona o ataque e porque é tão difícil de detetar
O Godfather instala-se sob a forma de uma APK que integra ferramentas open-source como VirtualApp e Xposed. Estas ferramentas permitem ao malware criar um ambiente virtual autónomo, no qual encapsula aplicações legítimas, como apps bancárias, de criptomoedas ou de lojas online. Assim que identifica uma destas aplicações no dispositivo, o Godfather inicia-a dentro deste ambiente controlado, conseguindo observar todas as ações do utilizador — desde a introdução de credenciais e PINs até à autorização de transferências.
Este método, que recorda o ataque FjordPhantom registado em 2023, destaca-se pelo seu alcance: o Godfather é capaz de atacar mais de 500 aplicações diferentes, tornando-se uma ameaça de grande escala. Ao virtualizar completamente o sistema de ficheiros e mascarar as suas intenções, o malware consegue contornar facilmente as proteções nativas do Android, apresentando-se como uma aplicação legítima aos olhos do utilizador e das ferramentas de segurança.
Para dificultar ainda mais a deteção, o Godfather exibe ecrãs falsos — como simulações de atualizações ou simples ecrãs pretos — enquanto executa as suas operações de espionagem e roubo de dados. Esta abordagem sofisticada permite que o malware atue de forma discreta, sem levantar suspeitas imediatas.
Apesar de as primeiras amostras detetadas terem como alvo principal aplicações bancárias turcas, os especialistas alertam que esta técnica poderá ser facilmente adaptada para outros mercados e regiões. O alcance global do Android e a facilidade de disseminação de APKs fora da Play Store aumentam o risco de propagação deste tipo de ameaça.
Prevenção e boas práticas para utilizadores Android
Perante esta nova vaga de ataques, é fundamental que os utilizadores adotem medidas preventivas. A principal recomendação passa por evitar a instalação de aplicações fora da Play Store, uma vez que estas não passam pelos mesmos controlos de segurança. Além disso, é essencial estar atento às permissões solicitadas pelas aplicações e desconfiar de comportamentos anómalos, como pedidos de atualização inesperados ou ecrãs suspeitos.
A evolução do Godfather mostra como as técnicas de ataque estão cada vez mais sofisticadas, tirando partido de ferramentas originalmente criadas para aumentar a segurança. A vigilância constante e a adoção de boas práticas digitais são, mais do que nunca, indispensáveis para proteger dados sensíveis e evitar surpresas desagradáveis.
Outros artigos interessantes:
